Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Microsoft-Browser: Internet…

Passworteingabe nach wie vor VÖLLIG UNSICHER!

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 17:58

    Nach wie vor kann man alle Eingabefelder und auch "geschütze" Passwortfelder mit 'nem einfachen VB Skript auslesen. Da braucht man nicht mal nen Keylogger.

    Einfach lachhaft.
    Ich kann nur empfehlen den IE daher nicht zu nutzen wenn man Passwörter wo eingeben muss.

  2. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 18:06

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > Nach wie vor kann man alle Eingabefelder und auch "geschütze"
    > Passwortfelder mit 'nem einfachen VB Skript auslesen. Da braucht man nicht
    > mal nen Keylogger.
    >
    > Einfach lachhaft.
    > Ich kann nur empfehlen den IE daher nicht zu nutzen wenn man Passwörter wo
    > eingeben muss.

    Du kannst in JavaScript alleine jedes Input jederzeit in jedem Browser auslesen, dass muss so sein, denn irgendwie muss dein AJAX Login wissen, welches Passwort er nun an deine Scripte übermittelt

    Nicht mehr als Gebashe aus Unwissenheit

  3. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:13

    > Du kannst in JavaScript alleine jedes Input jederzeit in jedem Browser
    > auslesen, dass muss so sein, denn irgendwie muss dein AJAX Login wissen,
    > welches Passwort er nun an deine Scripte übermittelt

    Ja, schon, aber beim IE braucht man nicht mal nen Java Script das irgendwo ja eingeschmuggelt werden muss, meist muss dazu ja der Server komprommitiert werden.

    Aber beim IE reicht ein kleiner lokaler Trojaner als VB Skript (das Skript läuft dabei völlig ausserhalb des IEs). Ich glaub nicht, dass der lokale Zugriff auf den IE von Virenscanner da überwacht wird. Und ein kleiner Trojaner lässt sich auf 'nem PC viel leichter einschmuggeln als 'nen Server zu hacken.



    2 mal bearbeitet, zuletzt am 26.02.13 18:15 durch Dwezel.

  4. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: wmayer 26.02.13 - 18:23

    Du solltest verhindern, dass ein Trojaner auf deinem Rechner ist.

  5. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 18:28

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > > Du kannst in JavaScript alleine jedes Input jederzeit in jedem Browser
    > > auslesen, dass muss so sein, denn irgendwie muss dein AJAX Login wissen,
    > > welches Passwort er nun an deine Scripte übermittelt
    >
    > Ja, schon, aber beim IE braucht man nicht mal nen Java Script das irgendwo
    > ja eingeschmuggelt werden muss, meist muss dazu ja der Server
    > komprommitiert werden.
    >
    > Aber beim IE reicht ein kleiner lokaler Trojaner als VB Skript (das Skript
    > läuft dabei völlig ausserhalb des IEs). Ich glaub nicht, dass der lokale
    > Zugriff auf den IE von Virenscanner da überwacht wird. Und ein kleiner
    > Trojaner lässt sich auf 'nem PC viel leichter einschmuggeln als 'nen Server
    > zu hacken.

    Ja, JavaScript muss also serverseitig modifiziert werden, soso.

    Kannst ja mal die ID deines Passwort-Feldes raussuchen und in JEDEM Browser auf der aktuellen Seite ein Passwort eingeben und folgendes in die URL Zeilen oben eingeben und Enter drücken

    javascript:window.alert(document.getElementById( 'idDesPasswortFeldes' ).value);

    Du wirst lachen (Oder weinen, je nachdem)

  6. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:28

    wmayer schrieb:
    --------------------------------------------------------------------------------
    > Du solltest verhindern, dass ein Trojaner auf deinem Rechner ist.

    Das ist ja eh klar.

    Aber ich hab ja auch nen Airbag im Auto, auch wenn ich nicht vorhabe einen Unfall zu bauen - genauso wenig hab ich vor mir nen Trojaner zu installieren.
    Aber selbst mit Virenscanner kann das jedem passieren, wenn man im Netz unterwegs ist. Und der IE lässt hier den Airbag weg.

  7. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:34

    > Ja, JavaScript muss also serverseitig modifiziert werden, soso.

    oder halt irgendwie in den Browser eingeschleust werden, das geht natürlich auch lokal.
    Bei IE muss man aber eben im Vergleich zu den anderen Browsern nix einschleusen.

    Wollt ja nur darauf hinweisen, dass eben beim IE der Zugriff auf die eingegeben Passwörter von ausserhalb des Browsers (also einer anderen Exe oder einem VBS/VBA Script) sehr, sehr einfach möglich ist. Bei den anderen Browsern kenne ich da keinen Weg, da braucht man wenigstens zuusätzlich ein AddIn.



    1 mal bearbeitet, zuletzt am 26.02.13 18:37 durch Dwezel.

  8. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 18:45

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > > Ja, JavaScript muss also serverseitig modifiziert werden, soso.
    >
    > oder halt irgendwie in den Browser eingeschleust werden, das geht natürlich
    > auch lokal.
    > Bei IE muss man aber eben im Vergleich zu den anderen Browsern nix
    > einschleusen.
    >
    > Wollt ja nur darauf hinweisen, dass eben beim IE der Zugriff auf die
    > eingegeben Passwörter von ausserhalb des Browsers (also einer anderen Exe
    > oder einem VBS/VBA Script) sehr, sehr einfach möglich ist. Bei den anderen
    > Browsern kenne ich da keinen Weg, da braucht man wenigstens zuusätzlich ein
    > AddIn.


    Nein eben nicht, das ist Schwachsinn.
    Die Textfelder deiner Browser kriege ich in jeder Sprache in Sekunden angesprochen und kann auslesen, was ich will. Da haben IE, FF, Chrome und Co. absolut gar keinen Unterschied. Es ist ein leichtes, in einem Browserfenster JavaScript auszuführen, wie gesagt, man kann es ja sogar direkt über die URL

    Der einzige Unterschied ist, dass die anderen Browser kein VB-Scripting unterstützen, was nun eine Grundsatzdiskussion wäre, denn VB ist nun auch nicht "schlecht", aber halt auch nicht "gut", viele Programme die mit dem IE arbeiten setzen aber darauf.
    Man braucht aber kein VB, um Inputs auszulesen, das geht auch leichter...

  9. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:53

    > Nein eben nicht, das ist Schwachsinn.
    HALLO, bitte mal genau lesen und nicht gleich draufhauen! Es geht nicht um Skripte die im Browser laufen!

    Von 'nen Script/Programm, das auch im Browser läuft rede ich NICHT. Da ist klar, dass das bei allen Browsern geht.

    Ich kenne keinen Weg, wie in z.B. mit einem CPP oder C# oder VB- oder Pascal Programm, das als EIGENE Exe unter Windows läuft, auf Chrome, FireFox etc. Zugfriff hat. Eben nur beim IE. Oder geht das? Dann klär mich auf.

    Sorry, hatte mich vielleicht nicht ganz klar ausgedrückt, da VB wohl ja auch im Browser laufen kann (oder?), aber das meinte ich eben NICHT.

  10. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 19:49

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > > Nein eben nicht, das ist Schwachsinn.
    > HALLO, bitte mal genau lesen und nicht gleich draufhauen! Es geht nicht um
    > Skripte die im Browser laufen!
    >
    > Von 'nen Script/Programm, das auch im Browser läuft rede ich NICHT. Da ist
    > klar, dass das bei allen Browsern geht.
    >
    > Ich kenne keinen Weg, wie in z.B. mit einem CPP oder C# oder VB- oder
    > Pascal Programm, das als EIGENE Exe unter Windows läuft, auf Chrome,
    > FireFox etc. Zugfriff hat. Eben nur beim IE. Oder geht das? Dann klär mich
    > auf.
    >
    > Sorry, hatte mich vielleicht nicht ganz klar ausgedrückt, da VB wohl ja
    > auch im Browser laufen kann (oder?), aber das meinte ich eben NICHT.

    Eigentlich Programmiersprache unter Windows ist in der Lage, die WinAPI anzusprechen und genau dort lassen sich Fenster-handles abfangen, Mausklicks und Tastaturdrücke simulieren und abfangen und wenn du willst dein gesamtes Betriebssystem steuern. JavaScript in den Browser einzuschleusen ist noch viel banaler, HTTP Traffic abfangen (Nicht HTTPS), HTML modifizieren und JavaScript einschleusen, AJAX Request an eigene Server, crossDomain lässt sich einfach einrichten und schon ist das Ding durch. Oder halt WinAPI, Fensterhandle vom Browser abfangen, Input für die Adresse ansprechen oder die Positionen herausfinden, ein paar Tastatureingaben simulieren, gut is (Wobei man an dem Punkt halt auch gleich die Inputs in der Browserausgabe ansprechen könnte)

    Wie kommst du darauf, dass sowas nur beim IE geht? Was genau soll dafür verantwortlich sein? VB ist wie JavaScript halt auch eine Script-Sprache, die halt nur der IE unterstützt (Weil nur er es will), aber sie kann halt nun auch nicht mehr oder weniger als jede andere Script-Sprache (Abhängig von den Funktionen, die sie bietet natürlich, aber JavaScript hat nun auch lokale Datei-APIs etc.)

    Was genau war der Grund dafür, dass du behauptest, so was geht nur beim IE, wenn es bei allen anderen rein logisch und technisch auch geht?
    Und genau an dem Punkt finde ich diesen gesamten Thread komplett schwachsinnig.

    Sorry, aber so ist es halt

  11. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 20:59

    > unter Windows ist in der Lage, die WinAPI
    > anzusprechen und genau dort lassen sich Fenster-handles abfangen,

    Das geht eben bei den Browsern NICHT, da (ja zum Glück) die Browser in 'ner Sandbox laufen. Da kriegst 'ne nur den Handle auf das Hauptfenster und Zugriff auf dessen Titel, aber mehr nicht. Nur MS führt das beim IE ad absurdum, da beim IE über eine andere Schnittstelle voller Zugriff möglich ist.

    >Was genau war der Grund dafür, dass du behauptest, so was geht nur beim IE, wenn es >bei allen anderen rein logisch und technisch auch geht?
    Nun, das ist eben mein Wissen (s.o.), und das mag lückenhaft sein, aber mir hat noch niemand das Gegenteil bewiesen.
    >Und genau an dem Punkt finde ich diesen gesamten Thread komplett schwachsinnig.
    Es ist einfach auf seinen Ansichten zu sitzen und was man nicht kennt oder nicht versteht als schwachsinnig abzutun, Aber nachfragen, versuchen den anderen zu verstehen und die Dinge neu zu betrachten hilft oft viel weiter und ist auch netter! Schönen Abend noch.

  12. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: cry88 27.02.13 - 09:29

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > Aber beim IE reicht ein kleiner lokaler Trojaner als VB Skript (das Skript
    > läuft dabei völlig ausserhalb des IEs). Ich glaub nicht, dass der lokale
    > Zugriff auf den IE von Virenscanner da überwacht wird. Und ein kleiner
    > Trojaner lässt sich auf 'nem PC viel leichter einschmuggeln als 'nen Server
    > zu hacken.

    nicht das jeder normale trojaner einen keylogger mitlaufen lässt damit er jedes passwort sammeln kann und nicht nur die geringe nutzeranzahl des ie abdeckt...

  13. BIG NEWS

    Autor: redmord 27.02.13 - 09:38

    Trojaner können User ausspionieren. :-)

    Im FF und Chrome können via Trojaner alle gespeicherten Passwörter ausgelesen werden. oO. Ein Trojaner könnte sich einfach als Plugin bei FF und Chrome einklinken und alles mitlesen. Trojaner sind schon böse.

  14. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: redmord 27.02.13 - 09:49

    Weshalb ziehst du dich an einer einzelnen einfachen Möglichkeit auf, wenn es unzählige einfache Möglichkeiten gibt?

    Wenn ein Trojaner auf dem Rechner läuft, ist alles möglich. Da ist die Frage, ob VB nun erst eingeschleust werden muss, total Banane.

    Weißt du weshalb FileZilla Passwörter in klartext speichert? Weil eine öffentlich dokumentierte Verschlüsselung in einem OSS-Produkt total Banane ist.
    Da brauchste nicht mal VB.

  15. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 27.02.13 - 11:12

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Weshalb ziehst du dich an einer einzelnen einfachen Möglichkeit auf, wenn
    > es unzählige einfache Möglichkeiten gibt?

    Wollte ja nur auf eine (meiner Meinung nach) Sicherheitslücke hinweisen. Aber wenn's keinen interessiert, auch egal.

    > Weißt du weshalb FileZilla Passwörter in klartext speichert?
    Ups, so was ist für mich fahrlässig.
    > Weil eine
    > öffentlich dokumentierte Verschlüsselung in einem OSS-Produkt total Banane
    > ist.
    Sorry, aber diese Aussage ist nun wirklich Banane! Öffentlich dokumentierte bedeutet ja nicht gleich knackbar. Mann Oh Mann, es gibt ja zum Glück asymmetrische Algorithmen. z.B. AES 1024 bit wird oft eingesetzt und ist dokumentiert, aber eben nicht knackbar, ausser mit Brute Force.

  16. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: redmord 27.02.13 - 11:52

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > redmord schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weshalb ziehst du dich an einer einzelnen einfachen Möglichkeit auf,
    > wenn
    > > es unzählige einfache Möglichkeiten gibt?
    >
    > Wollte ja nur auf eine (meiner Meinung nach) Sicherheitslücke hinweisen.
    > Aber wenn's keinen interessiert, auch egal.

    Uninteressant fand ich deine Info nicht, wenn auch der Aufhänger auf mich überzogen wirkt.

    > > Weißt du weshalb FileZilla Passwörter in klartext speichert?
    > Ups, so was ist für mich fahrlässig.

    http://trac.filezilla-project.org/ticket/5530

    > > Weil eine
    > > öffentlich dokumentierte Verschlüsselung in einem OSS-Produkt total
    > Banane
    > > ist.
    > Sorry, aber diese Aussage ist nun wirklich Banane! Öffentlich dokumentierte
    > bedeutet ja nicht gleich knackbar. Mann Oh Mann, es gibt ja zum Glück
    > asymmetrische Algorithmen. z.B. AES 1024 bit wird oft eingesetzt und ist
    > dokumentiert, aber eben nicht knackbar, ausser mit Brute Force.

    Zwischenzeitlich wurde das Ticket mit folgender Begründung geschlossen:

    " Whether passwords are stored encrypted or in plaintext makes no difference in security.

    Two options for storing passwords encrypted:
    a) Transparent encryption with an implicit master key stored somewhere
    b) Encryption with the user required to enter a password to decrypt

    In the first scenario, you can just as well use plain text passwords. If no interaction is needed, everybody still access the passwords, even if they are encrypted.

    The second option would work, but if you always have to enter some master password, you can instead disable saving of passwords completely.

    You can already disable saving of passwords in the settings dialog of FileZilla."

    Grundsätzlich ist das Speichern von Passwörtern in FileZilla strengstens abzuraten. Ich kenne jetzt mehrere Personen, denen hierüber Schadcode auf dem Webspace platziert wurde. In einem Fall hatten wir letztendlich die Vermutung, dass der PC über einen Android-Trojaner kompromittiert wurde.



    1 mal bearbeitet, zuletzt am 27.02.13 11:59 durch redmord.

  17. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TTX 27.02.13 - 12:16

    Ein Grund warum ich Filezilla nicht nutze :)
    Die Begründung der Entwickler die PW-File (bzw. deren Inhalt) nicht zu verschlüsseln ist schwachsinnig, jedes andere Programm schafft das auch. Davon abgesehen kann man den User auffordern einen Master Key festzulegen, oder sich einen generieren Key zu speichern. Oder man man weist einfach auf zwei Möglichkeiten hin und lässt dem User die Wahl ... so wie sich das gehört.

  18. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: redmord 27.02.13 - 12:52

    Was bringt einem auf dem Fileserver abgelegter generierter Key?

    Ich fände die Master-Password-Geschichte auch nicht schlecht. Die lapidare Argumentation, dass man dann gleich das Passwortspeichern ausschalten könne, ist für Home-User zwar ganz sicher richtig, doch wenn ich im Laufe der Zeit auf der Arbeit eine Zahl von 20 oder mehr Kundenserver ansammelt, wäre ein Master-Password schon ganz nett.

  19. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TTX 28.02.13 - 08:11

    Den Key legt man ja auch nicht auf dem FileServer ab o.O, ein Masterpasswort könnte auch der User beliebig generieren. Natürlich ist das ganze immer irgendwo knackbar, nichts desto trotz sollte man ein bestimmtes Maß Sicherheit bieten als Entwickler. Ich fahre mit FlashFXP deutlich besser, ist halt nicht umsonst, aber Qualität kostet manchmal :), die File ist da zwar auch Knackbar, aber immerhin muss man sich etwas bemühen...

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Kermi GmbH, Plattling
  2. byon gmbh, Frankfurt am Main
  3. AOK - Die Gesundheitskasse für Niedersachsen, Hannover
  4. über Nash direct GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 27,99€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Breitbandausbau: Oettinger bedauert Privatisierung der Telekom
    Breitbandausbau
    Oettinger bedauert Privatisierung der Telekom

    Der frühere EU-Digitalkommissar Günther Oettinger wünscht sich mehr Anstrengungen in Europa beim Breitbandausbau. Während Grüne und FDP eine vollständige Privatisierung der Deutschen Telekom fordern, wünscht sich der CDU-Politiker mehr staatlichen Einfluss auf eine digitale Grundversorgung.

  2. Elektroauto: Tesla Model S brennt auf österreichischer Autobahn aus
    Elektroauto
    Tesla Model S brennt auf österreichischer Autobahn aus

    Bei einem Elektroauto kann zwar kein Benzintank explodieren, dafür kann der Akku Feuer fangen. Eine Feuerwehr in Österreich hat ein Video veröffentlicht, wie sie den brennenden Akku eines Tesla Model S löscht.

  3. Ubuntu 17.10 im Test: Unity ist tot, lange lebe Unity!
    Ubuntu 17.10 im Test
    Unity ist tot, lange lebe Unity!

    Mit der aktuellen Version 17.10 alias Artful Aardvark kehrt Ubuntu zu Gnome und dem Rest der Linux-Desktop-Community zurück. Dabei gibt sich das Team sichtlich Mühe, die Unity-Optik irgendwie zu erhalten. Nur schade, dass einige Funktionen wegfallen.


  1. 13:49

  2. 12:25

  3. 12:00

  4. 11:56

  5. 11:38

  6. 10:40

  7. 10:23

  8. 10:09